Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ist mein PC gehackt worden?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.11.2004, 15:25   #1
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hallihallo!
Ich habe vor ein paar Tagen den TR/Dldr.Dyfuca.W auf meinem Rechner entdeckt und auf Anraten von Cronos (Danke!!! :-) diesen HijackThis Log erstellt. Kann jemand das für mich "lesen"? Vielen Dank dafür im Voraus!
Boutrousg
===========
Logfile of HijackThis v1.98.2
Scan saved at 15:09:43, on 15.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spupdw2k.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\peter.000\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.200.42:82
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [hpppta] l:\scanner\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

Alt 15.11.2004, 15:56   #2
cacatoa
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hallo,
fixe die folgenden im abgesicherten Modus:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Lösche die folgenden DAteien manuell:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

WEnn Du sie nicht kennst, fixe die folgenden auch:
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

Dann neues Logfile erstellen.
Einen eScan im abgesicherten Modus durchführen und das Ergebnis (nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) hier rein posten.
cacatoa
__________________

__________________

Alt 15.11.2004, 16:08   #3
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hallo Cacatoa!
Woow :-))
Vielen Dank für Deine schnelle Antwort!
Erlaube mir eine Newbie-Frage: Wie um alles in der Welt kann ich meinen Rechner im abgesicherten Modus starten und wie fixe ich diese sachen (z.B. ......
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe)

kannst Du mir einen Tip geben????
1000 DANK!!!
boutrousg
__________________

Alt 15.11.2004, 16:19   #4
cacatoa
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Fixen heißt, nach dem scan mit HJT die Punkte, die ich dir geschrieben habe, anclicken (und nur die) und dann auf "Fix checked" clicken. Wech sin se.
Abgesicherter Modus: hier drauf clicken
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 15.11.2004, 17:21   #5
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Danke cacatoa, das werd ich dann gleich mal machen!


Alt 16.11.2004, 09:46   #6
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hi Cacatoa!
Das ist mein neuer Logfile. Ich glaub alles ist clean soweit, ich hab laut automatischer Auswertung nur angeblich 2 unbekannte Prozesse:

C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\spupdw2k.exe

Kennst Du die?
Viele Grüße und nochmals vielen Dank!
BoutrousG

Logfile of HijackThis v1.98.2
Scan saved at 09:36:15, on 16.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spupdsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spupdw2k.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\peter.000\Desktop\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.200.42:82
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpppta] l:\scanner\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

Alt 16.11.2004, 11:41   #7
cacatoa
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hi,
"rcta.de" ist Absicht, oder? (Bitte um Antwort)
Zu den beiden Prozessen hab´ich nirgendwo was gefunden, das auf negative Einflüsse schließen läßt.
Somit sollte alles sauber sein.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 16.11.2004, 16:07   #8
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



[QUOTE=cacatoa]Hi,
"rcta.de" ist Absicht, oder?
Stimmt! Das ist die Web-Adresse meiner Firma!
Danke nochmals für all Deine Bemühungen!!!

Alt 16.11.2004, 18:29   #9
Shadowdance
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



@ boutrousg,

überprüfe bitte mit virusscan.jotti.dhs.org:

C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\spupdw2k.exe

teile uns das Ergebnis mit und sende die Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

SD

Alt 16.11.2004, 21:31   #10
boutrousg
 
Ist mein PC gehackt worden? - Standard

Ist mein PC gehackt worden?



Hi Shadowdance!
Hab ich gemacht und folgendes war das Resultat:

spupdsvc.exe :
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

spupdw2k.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

Folgendes ist mir aber soeben passiert: The Cleaner hat ein unvorhergesehenes Ereignisg festgestellt und mich aufgefordert etwas zu tun und zwar sollte ich einen soeben getätigten Eintrag überprüfen, auf:

HKCU\Software\Mircosoft\Windows\Current Version\Run

wurde folgendes neu eingetragen:

C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe"/startup


Ich habe diesen Registry Eintrag schon öfter mal gelöscht, aber er scheint immer wieder aufzutauchen!!! Was soll ich tun?????

BoutrousG

Antwort

Themen zu Ist mein PC gehackt worden?
bho, boot, button, danke, dateien, desktop, excel, explorer, file missing, hijack, hijackthis, hijackthis log, internet, internet explorer, links, log, meinem, messenger, microsoft, msn, msn messenger, object, office, programme, shockwave, software, symantec, system, system32, tcpip, vielen dank, windows



Ähnliche Themen: Ist mein PC gehackt worden?


  1. Bin im fb gehackt worden...
    Antiviren-, Firewall- und andere Schutzprogramme - 07.05.2015 (2)
  2. Bin im fb gehackt worden....
    Log-Analyse und Auswertung - 30.04.2015 (5)
  3. Bin ich gehackt worden?
    Log-Analyse und Auswertung - 11.02.2015 (3)
  4. Mein PC ist gehackt worden: Was kann genau passiert sein?
    Überwachung, Datenschutz und Spam - 01.02.2015 (49)
  5. Ich bin gehackt worden ?
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (13)
  6. 2x Bin total gehackt worden, Pc und Handy
    Mülltonne - 17.11.2013 (1)
  7. Ist mein System korrumpiert worden?
    Log-Analyse und Auswertung - 31.01.2013 (22)
  8. Mein Pc ist durch GVU gesperrt worden
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  9. Google Mail neulich gehackt worden (Keylogger?) & langsames Internet
    Log-Analyse und Auswertung - 17.12.2011 (8)
  10. WoW Account gerade gehackt worden
    Log-Analyse und Auswertung - 10.01.2011 (17)
  11. WOW gehackt worden. Bin ich jetzt clean oder immer noch Kelogger ?
    Log-Analyse und Auswertung - 03.02.2010 (0)
  12. Gehackt worden
    Log-Analyse und Auswertung - 26.12.2009 (5)
  13. Bin ich gehackt worden??
    Plagegeister aller Art und deren Bekämpfung - 11.12.2007 (2)
  14. ist mein server gehackt worden?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (4)
  15. Ist mein PC komprometiert worden???
    Log-Analyse und Auswertung - 28.08.2006 (1)
  16. bin gehackt worden!
    Antiviren-, Firewall- und andere Schutzprogramme - 27.05.2006 (35)
  17. Hilfe !! bin ich gehackt worden??
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (1)

Zum Thema Ist mein PC gehackt worden? - Hallihallo! Ich habe vor ein paar Tagen den TR/Dldr.Dyfuca.W auf meinem Rechner entdeckt und auf Anraten von Cronos (Danke!!! :-) diesen HijackThis Log erstellt. Kann jemand das für mich "lesen"? - Ist mein PC gehackt worden?...
Archiv
Du betrachtest: Ist mein PC gehackt worden? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.